Поделиться
ИТ-безопасность: никто не готов к новым угрозам
Компания Ernst&Young провела ежегодный глобальный опрос ИТ-руководителей о проблемах информационной безопасности. Как оказалось, пропасть между угрозами ИТ-безопасности и тем, что делается для защиты от них, стала еще шире.Взаимозависимость бизнеса
Взаимозависимость компаний друг от друга является результатом нарастающего процесса глобализации: мир становится меньше, бизнес становится больше. В таких условиях каждая организация должна быть уверена в ИТ-безопасности своего партнера, в противном случае всего один инцидент – утечка или кража чувствительных данных – может больно ударить по одной компании и похоронить другую. Бизнес понимает проблему. Все ведущие организации признают свою зависимость от поставщиков, партнеров, подрядчиков и т.п., а также единодушны в том, что влиять на ИТ-безопасность третьих компаний очень сложно. Именно поэтому руководители придают особое значение системам управления рисками у своих партнеров по бизнесу. Заметим, что в эту систему обязательно входят оценка рисков и регулярные проверки политик и процедур безопасности.
Предприятия понимают, что такая модель ведения бизнеса как аутсорсинг имеет не только выгоды, но и недостатки. Чтобы минимизировать возникающие при этом риски, часть руководителей использует системы оценки рисков в аутсорсинговых проектах, включающие в себя количественные и качественные методики.
В противоположность этому рациональному подходу некоторые компании не уделяют должного внимания системам оценки рисков у своих партнеров по бизнесу. Такой порочный подход особенно распространен при оценке рисков ИТ-безопасности, когда бездоказательные рассуждения (не подкрепленные проверкой/аудитом или сертификацией) используются для принятия решений. Таким образом, бизнес сталкивается с новыми рисками и выигрывает от партнерства или аутсорсинга значительно меньше.
Источник: Ernst&Young
Исследование "Global Information Security Survey 2005" установило, что 20% всех респондентов вообще не заботятся об оценке рисков в компаниях-партнерах, а одна треть использует неформальные процедуры в этих целях (бездоказательные доводы). "В современных условиях ведения бизнеса такая безалаберность слишком опасна. Ситуацию нельзя пускать на самотек: рисками необходимо управлять", - считает Денис Зенкин.Почти три четверти респондентов верят, что компании-партнеры способны поддерживать политики, процедуры и стандарты корпоративной ИТ-безопасности, в то время как одна шестая часть требует независимого внешнего аудита предприятий-партнеров. Только одна четверть организаций требует от поставщиков и партнеров сертификации.
Источник: Ernst&Young
Существует широко распространенное мнение, что малым компаниям следует уделять вопросам ИТ-безопасности намного больше внимания, чем крупным, так как малый бизнес ограничен в ресурсах по сравнению с крупным. Возможно, это правда, но исследование "Global Information Security Survey 2005" по многим вопросам вообще не выявило никаких различий между малыми и большими организациями. Они сталкиваются с теми же проблемами нехватки квалифицированных и опытных кадров, специалистов по ИТ-безопасности; и тем и другим приходится проходить процесс сертификации.
Источник: Ernst&Young
Новые технологии
Чтобы добиться более высокой конкурентоспособности, организации берут на вооружение такие технологии, как VoIP, беспроводные сети, мобильные устройства и т.п. Как это часто случается, вместе с повышением эффективности решения деловых задач появляются и дополнительные угрозы: интеллектуальная собственность и конфиденциальная информация просачиваются через корпоративный периметр и могут оказаться где угодно.
Половина опрошенных руководителей понимают, какую угрозу ИТ-безопасности представляют новейшие мобильные технологии, включая мобильные вычисления, портативные устройства и беспроводные сети. Однако уровень осведомленности значительно ниже относительно VoIP, открытых исходных кодов и виртуализации серверов: 21%, 10% и 8% соответственно.
Источник: Ernst&Young
"Прежде чем брать на вооружение новые технологии, организациям следует уяснить, какими дополнительными рисками это чревато. Оценив эти риски, следует принять адекватные меры, а уже потом модернизировать информационные процессы. Если говорить только о мобильных технологиях, которые, очевидно, являются источником новых угроз, то далеко не все организации принимают достаточные меры, чтобы управлять этими рисками. Такие меры должны начинаться с донесения до каждого сотрудника идеи о том, что он несет ответственность за ИТ-безопасность. С этой точки зрения, процессы оповещения об угрозах и средствах борьбы с ними должны пронизывать все уровни корпоративной иерархии, как вертикальные, так и горизонтальные. Вдобавок, необходимы новые средства защиты цифровых активов компании от кражи и утечки", - комментирует Денис Зенкин.
Опрос показал, что менее половины организаций заботятся о том, чтобы их сотрудники были осведомлены о различных аспектах ИТ-безопасности, и еще меньшее число предприятий обучает своих служащих корректно докладывать об инцидентах ИТ-безопасности.
Следует отметить, что, несмотря на всевозрастающую тревогу, некоторые компании не собираются принимать никаких сиюминутных действий. Так, 42% респондентов сообщили, что проблемы, возникающие в связи с переходом на новые технологии, только усилятся в ближайшие двенадцать месяцев. Между тем, 34% считают, что этот фактор явился стимулом для развития ИТ-безопасности в текущем году. Хотя примерно половина этих руководителей пытаются в той или иной степени решить возникающие проблемы, от четверти до трети респондентов сообщили, что у них нет никаких планов в отношении защиты от новых угроз, как минимум, на ближайшие двенадцать месяцев.
Источник: Ernst&Young
Таким образом, можно с уверенностью утверждать, что риски, связанные с мобильными вычислениями, портативными устройствами, беспроводными сетями и VoIP серьезно возрастут в ближайшее время.
Поделиться
Короткая ссылка
